Poziomy ważności problemów bezpieczeństwa

479
wyświetleń
Poziomy ważności problemów bezpieczeństwa
Common Vulnerability Scoring System (CVSS) jest otwartym systemem oceny podatności oprogramowania na zagrożenia. Jest to popularna metoda określania poziomu ważności błędów bezpieczeństwa.

CVSS składa się z trzech grup metryk: Bazowej, Czasowej i Środowiskowej. Grupa bazowa reprezentuje wewnętrzne cechy podatności, które są stałe w czasie i istnieją w różnych środowiskach użytkowników, grupa czasowa odzwierciedla cechy podatności, które zmieniają się w czasie, a grupa środowiskowa reprezentuje cechy podatności, które są unikalne dla środowiska użytkownika. Metryki bazowe dają wynik w zakresie od 0 do 10, który może być modyfikowany przez metryki czasowe i środowiskowe. 
 
CVSS jest własnością i jest zarządzany przez FIRST.Org, Inc. (FIRST), organizację non-profit z siedzibą w USA, której misją jest pomoc zespołom w reagowaniu na incydenty bezpieczeństwa na całym świecie. Do używania lub wdrażania CVSS członkostwo w FIRST nie jest wymagane. FIRST wymaga jednak, aby każda osoba lub jednostka używająca CVSS podała odpowiednie informacje o własności. 
Należy również  pamiętać, że CVSS mierzy dotkliwość, a nie ryzyko.
 
Do obliczania ważności problemów bezpieczeństwa oprogramowania służy udostępniony kalkulator
 
Poniżej przykładowe wyliczenia.
 
Poziom bazowy:

poziomy-waznosci-problemow-bezpieczenstwa--2.jpg

Poziom czasowy:

poziomy-waznosci-problemow-bezpieczenstwa-3.jpg

Poziom środowiskowy:

poziomy-waznosci-problemow-bezpieczenstwa-4.jpg

Więcej o FIRST znajdziecie na ich stronie

Przykład użycia CVSS w firmie Atlassian

W Atlassian poziom ważności problemów bezpieczeństwa oparty jest na samodzielnie obliczonym wyniku CVSS dla każdego konkretnego błędu. 

Dla CVSS v3 Atlassian używa następującego systemu klasyfikacji ważności:
 
ZAKRES OCEN CVSS V3:

  • 0.1 - 3.9  -> Niski
  • 4.0 - 6.9 -> Średni
  • 7.0 - 8.9 -> Wysoki
  • 9.0 - 10.0 -> Krytyczny

 
Poniżej kilka przykładów klasyfikacji podatności, które mogą skutkować danym poziomem ważności. Należy pamiętać, że oceny te nie uwzględniają specyficznej dla użytkownika formy instalacji oprogramowania i powinny być stosowane wyłącznie jako wskazówka.

Poziom ważności: Krytyczny

Luki, które otrzymały ocenę krytyczną, zazwyczaj posiadają większość z poniższych cech:

  • Wykorzystanie luki prawdopodobnie doprowadzi do przejęcia kontroli nad serwerami lub urządzeniami infrastruktury na poziomie użytkownika.
  • Wykorzystanie jest zazwyczaj proste, w tym sensie, że atakujący nie potrzebuje żadnych specjalnych danych uwierzytelniających ani wiedzy o poszczególnych ofiarach, nie musi też przekonywać docelowego użytkownika, na przykład za pomocą socjotechniki, do wykonania jakiejś specjalnej funkcji.
  • W przypadku krytycznych luk, zaleca się jak najszybsze ich załatanie lub aktualizację, chyba że istnieją inne środki zaradcze. Na przykład, czynnikiem łagodzącym może być fakt, że instalacja nie jest dostępna z Internetu.

Poziom ważności: Wysoki

Luki, które uzyskały wysoki poziom istotności, zazwyczaj posiadają niektóre z poniższych cech:

  • Luka jest trudna do wykorzystania.
  • Wykorzystanie jej może prowadzić do zwiększenia poziomu uprawnień.
  • Wykorzystanie luki może spowodować znaczną stratę danych lub przestój w pracy.

Poziom ważności: Średni

Luki, które osiągają średni poziom istotności, zazwyczaj posiadają niektóre z poniższych cech:

  • Podatności, które wymagają od atakującego manipulowania ofiarami za pomocą taktyk socjotechnicznych.
  • Podatności na ataki typu Denial of Service, które są trudne do skonfigurowania.
  • Exploity, które wymagają, aby atakujący znajdował się w tej samej sieci lokalnej co ofiara.
  • Luki, których wykorzystanie zapewnia jedynie bardzo ograniczony dostęp.
  • Luki, które do skutecznego wykorzystania wymagają uprawnień użytkownika. 

Poziom istotności: Niski

Luki o niskim poziomie istotności mają zazwyczaj bardzo mały wpływ na działalność organizacji. Wykorzystanie takich podatności wymaga zazwyczaj lokalnego lub fizycznego dostępu do systemu.

Przykład zgłoszenia na poziomie wysokim "Unrendered unicode bidirectional override characters - CVE-2021-42574" 

479
wyświetleń
Źródła:
https://www.first.org/cvss/
https://www.atlassian.com/trust/security/security-severity-levels
https://www.first.org/cvss/user-guide

To powinno Cię zainteresować